Eu tenho um servidor FTP/web externo (com hosts virtuais) executando o Ubuntu 12.04LTS e tenho algumas preocupações sobre algum tráfego de rede que estou vendo.
Alguns antecedentes. Tentei ser o mais preventivo possível na configuração do computador, talvez relevante:
- Está diretamente conectado à internet e independente da nossa LAN, de modo que se alguma vez for comprometido o dano não pode se espalhar,
- Ele é executado
ufwcom uma estrutura de regras deny-first que permite apenas:- Conexões a quaisquer portas do endereço IP da LAN (para fins administrativos)
- Conexões às portas 21/80 de qualquer endereço IP (para os serviços)
apache2está configurado para permitir acesso apenas a páginas da web potencialmente 'perigosas', comoadmin.phpouconfiguração.phpdo endereço IP da LAN e- Outras coisas como atualização automática
denyhosts, etc.
Minha preocupação é que eu estava olhando o resultado nethogsdesta manhã e encontrei muitas entradas que não entendi (removi o endereço IP do meu servidor e cortei um pouco a lista):
PID USER PROGRAM DEV SENT RECEIVED
? root server.address:80-180.126.248.132:56745 11.879 0.454 KB/sec
? root server.address:80-180.126.248.132:56752 9.568 0.354 KB/sec
8300 jon sshd: jon@pts/0 bond0 5.597 0.323 KB/sec
? root server.address:80-180.126.248.132:56663 6.690 0.185 KB/sec
? root server.address:80-180.126.248.132:56739 5.242 0.170 KB/sec
? root server.address:80-180.126.248.132:56608 4.658 0.170 KB/sec
? root server.address:80-180.126.248.132:56723 5.242 0.162 KB/sec
? root server.address:80-180.126.248.132:56515 4.658 0.150 KB/sec
[...]
3614 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3134 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3307 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3009 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3768 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
3132 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
3384 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
Então a minha pergunta, e preocupação óbvia, é: quais são essas conexões? Por que eles são de propriedade do root e sem PID? Por que existem tantos?
Outrorespondersugeriu que entradas semelhantes na outra direção (ou seja, de uma porta aleatória para uma porta externa 80 de propriedade do root sem PID) significam conexõesparasites externos, mas não sei se o inverso é o caso, pois também tenho listagens de apache2... Gostaria de pensar que tenho bastante experiência com Linux no nível do usuário, mas a administração do sistema é um pouco nova para mim. O sistema foi instalado chkrootkite rkhunterinstalado, mas executá-los não resultou em nada. Obviamente gostaria de saber se tenho algum problema, mas também gostaria de entender o que está acontecendo...
Apêndice
Para fins de interesse, o seguinte é o resultado do meusudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To Action From
-- ------ ----
Anywhere ALLOW IN lan.address
80 ALLOW IN Anywhere
21/tcp ALLOW IN Anywhere
80 ALLOW IN Anywhere (v6)
21/tcp ALLOW IN Anywhere (v6)
Responder1
Como todo esse tráfego está conectado a um computador na China (ou pelo menos é o que parece em relação à saída whois), eu recomendaria proibir o tráfego dessa rede (180.96.0.0/19). Desde que você não tenha nenhum interesse específico em se conectar a essa rede, é claro. Caso contrário, consideraria esse tráfego malicioso e, portanto, indesejado.
Conexões com um endereço IP, mas com várias portas, sugerem conexões de entrada em vez de conexões de saída, já que o estabelecimento de conexão para o tráfego de entrada aparece na porta 80.
% Information related to '180.96.0.0 - 180.127.255.255'
inetnum: 180.96.0.0 - 180.127.255.255
netname: CHINANET-JS
descr: Chinanet Jiangsu Province Network
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032
country: CN
admin-c: CH93-AP
tech-c: CJ186-AP
remarks: service provider
status: ALLOCATED PORTABLE
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: [email protected] 20090723
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-JS
source: APNIC
role: CHINANET JIANGSU
address: 260 Zhongyang Road,Nanjing 210037
country: CN
phone: +86-25-86588231
phone: +86-25-86588745
fax-no: +86-25-86588104
e-mail: [email protected]
remarks: send anti-spam reports to [email protected]
remarks: send abuse reports to [email protected]
remarks: times in GMT+8
admin-c: CH360-AP
tech-c: CS306-AP
tech-c: CN142-AP
nic-hdl: CJ186-AP
remarks: www.jsinfo.net
notify: [email protected]
mnt-by: MAINT-CHINANET-JS
changed: [email protected] 20090831
changed: [email protected] 20090831
changed: [email protected] 20090901
source: APNIC
changed: [email protected] 20111114
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: [email protected]
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: [email protected] 20070416
changed: [email protected] 20140227
mnt-by: MAINT-CHINANET
source: APNIC